Iako je od donošenja novog Zakona o zaštiti podataka o ličnosti („Zakon“) prošlo više od šest godina, u praksi se još uvek javljaju nedoumice u kojim slučajevima rukovaoci i obrađivači podataka o ličnosti moraju da imaju Lice za zaštitu podataka o ličnosti (eng. Data Protection Officer –„DPO“). Takođe, imajući u vidu broj rukovaoca i obrađivača iz inostranstva na koje se primenjuje Zakon, mnogi od njih nisu ispunili obavezu imenovanja predstavnika za zaštitu podataka o ličnosti, što otežava građanima da lakše ostvare svoja prava kada je u pitanju obrada njihovih podataka o ličnosti.
Imajući u vidu naše dugogodišnje iskustvo u ovoj oblasti, ispod smo pokušali da pružimo sažeti pregled ova dva pitanja.
- DPO
Shodno Zakonu, po uzoru na GDPR (Generalna uredba o obradi podataka o ličnosti), rukovalac i obrađivač podataka u određenim situacijama imaju obavezu da imenuju lice za zaštitu podataka o ličnosti. Reč o situacijama:
- kada se njihove osnovne aktivnosti sastoje u radnjama obrade koje po svojoj prirodi zahtevaju redovan i sistematski nadzor velikog broja lica (npr. obrada od strane agencija koje nude usluge video nadzora i sl.);
- kada se u velikom obimu obrađuju posebni podaci o ličnosti u koje spadaju podaci o veri, etnicitetu, rasi, političkom mišljenju, genetski i biometrijski podaci itd. (npr. obrada od strane zdravstvenih ustanova i sl.); i
- obrada o strane organa vlasti (državni i organi lokalne samouprave, javne ustanove itd.).
Naravno, radi unapređenja obrade podataka o ličnosti i smanjenja rizika za slučaj nezakonite obrade podataka, rukovaoci i obrađivači mogu dobrovoljno imenovati lice za zaštitu podataka o ličnosti, pri čemu to može biti osoba koja je u radnom odnosu kod rukovaoca, odnosno, obrađivača, ali, ukoliko među zaposlenima nema osobe sa potrebnim znanjima iz oblasti propisa zaštite podataka o ličnosti, to može biti i eksterno lice koje poseduje potrebna znanja (u potonjem slučaju, najčešće je reč o advokatskim kancelarijama sa iskustvom i znanjem iz oblasti zaštite podataka o ličnosti).
U svakom slučaju, ukoliko imenuju lice o zaštiti podataka o ličnosti, obrađivači, odnosno, rukovaoci su dužni da o tome izveste Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.
- Predstavnik inostranog rukovaoca i obrađivača
Osim na rukovaoce, odnosno, obrađivače sa sedištem u Srbiji, Zakon se primenjuje i na rukovaoce i obrađivače iz inostranstva kada nude robu i usluge licima u Srbiji ili ukoliko prate aktivnosti lica na teritoriji Srbije. U tim slučajevima rukovaoci i obrađivači iz inostranstva mogu imati obavezu imenovanja svog predstavnika u Srbiji, sve kako bi se omogućila lakša zaštita fizičkim licima iz Srbije čiji podaci se obrađuju i njihova komunikacija sa inostranim rukovaocem i obrađivačem.
Iako je određen broj društava imenovao predstavnike u Srbiji (najčešće advokatske kancelarije), većina inostranih rukovaoca i obrađivača to još uvek nije uradila, iako bi mnogi, po obimu nuđenja svojih proizvoda i usluga u Srbiji, mogli biti obavezni da to urade. Oni koji nisu imenovali predstavnika, a obavezni su to da urade, rizikuju sankcije, uključujući i meru zabrane obrade podataka, odnosno, njihovog izvoza van Srbije (što sve može imati uticaja na njihovo poslovanje u Srbiji).
Ispunjavanjem gorenavedenih obaveza, obrađivači i rukovaoci ne samo da obezbeđuju poštovanje zakona, već i minimiziraju rizike poslovanja i izgrađuju poverenje sa licima čije podatke obrađuju.
Ovaj tekst je napisan isključivo u informativne svrhe i ne predstavlja pravni savet. Stojimo na raspolaganju za sve dodatne informacije.
